Малварь как искусство Как обфусцировать вызовы WinAPI

[EH20]

кстати я заметил еще одну вещь, лучше конечно обусфицировать еще и строки а именно unsigned short* krnl32dll = L"kernel32.dll" и так далее, потому что в Ghidra и ему подобных переменные начинают называться именно так, какое значение присвоено данной переменной, хотя это изначально, для того что бы затруднить хотя бы чуть чуть работу специалистам. строки это тоже не менее важные сигнатуры, как оказалось на поверку. хотя с ними гораздо все проще. кстати нашел репозиторий, наверное именно того чувака который писал данный контент на хакере может кому будет интересно. например его репа на фасме - тоже самое по идее только в профиль

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

, хотя вот лучше это

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[Edith Wooten]

кстати я заметил еще одну вещь, лучше конечно обусфицировать еще и строки а именно unsigned short* krnl32dll = L"kernel32.dll" и так далее, потому что в Ghidra и ему подобных переменные начинают называться именно так, какое значение присвоено данной переменной, хотя это изначально, для того что бы затруднить хотя бы чуть чуть работу специалистам. строки это тоже не менее важные сигнатуры, как оказалось на поверку. хотя с ними гораздо все проще. кстати нашел репозиторий, наверное именно того чувака который писал данный контент на хакере может кому будет интересно. например его репа на фасме - тоже самое по идее только в профиль

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

, хотя вот лучше это

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

чем оно лучше lazy importer?

 

[X-Shar]

чем оно лучше lazy importer?

Он не лучше, выложили-бы сразу и ссылку:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Там разные подходы, движок в этой теме простой и написан на можно сказать чистом си, плюс апи винды, плюс задокументирован хорошо, вплоть до каждой строчки кода, поэтому его относительно легко отлаживать, добовлять функционал и т.д.

Движок, представленный JustasMasiulis более мощный, написан на С++, много там чего есть.

В целом использовать его проще в своих программах, но внутренности неописаны, вам сложнее будет в отладке,особенно если нет опыта в С++.

Хотя там если просто использовать, невникая в суть, да удобный, мощный движок, короче годнота, если конечно там багов нет.

Да и еще, будет-ли он работать под x64 ?

Представленный здесь движок кроссплатформен.)

 

[Edith Wooten]

Он не лучше, выложили-бы сразу и ссылку:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Там разные подходы, движок в этой теме простой и написан на можно сказать чистом си, плюс апи винды, плюс задокументирован хорошо, вплоть до каждой строчки кода, поэтому его относительно легко отлаживать, добовлять функционал и т.д.

Движок, представленный JustasMasiulis более мощный, написан на С++, много там чего есть.

В целом использовать его проще в своих программах, но внутренности неописаны, вам сложнее будет в отладке,особенно если нет опыта в С++.

Хотя там если просто использовать, невникая в суть, да удобный, мощный движок, короче годнота, если конечно там багов нет.

Да и еще, будет-ли он работать под x64 ?

Представленный здесь движок кроссплатформен.)

не знаю насчет x64, да и lazy importer это ведь отложенный импорт?

 

[EH20]

Он не лучше, выложили-бы сразу и ссылку:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Там разные подходы, движок в этой теме простой и написан на можно сказать чистом си, плюс апи винды, плюс задокументирован хорошо, вплоть до каждой строчки кода, поэтому его относительно легко отлаживать, добовлять функционал и т.д.

Движок, представленный JustasMasiulis более мощный, написан на С++, много там чего есть.

В целом использовать его проще в своих программах, но внутренности неописаны, вам сложнее будет в отладке,особенно если нет опыта в С++.

Хотя там если просто использовать, невникая в суть, да удобный, мощный движок, короче годнота, если конечно там багов нет.

Да и еще, будет-ли он работать под x64 ?

Представленный здесь движок кроссплатформен.)

Согласен во всём. Пишу как раз на си, получается хорошо.

 

[X-Shar]

да и lazy importer это ведь отложенный импорт?

Как понял почти то-же самое, что и способ в этой теме, просто оформленно более качественно, плюсь всяких фишек больше, легче подключить к проекту.)

Пишу как раз на си, получается хорошо.

А если не секрет, что пишите ? Просто сейчас очень мало программистов си, мало где нужно...:(

В основном C++, и-то редко, много высокоуровневыми языками в основном занимаются сейчас.)

 

[Edith Wooten]

третий параметр - длинна строки которую ты хешировал + 1 символ на 0

а что за параметр? решил вернуться к проекту этому

 

[Edith Wooten]

ошибка осталась та же

 

[virt]

ошибка осталась та же

Ошибка в версии из гита ?

 

[virt]

Сейчас собрал и проверил, все работает, на релизе.